삼성카드가 앱카드 명의도용 사고와 관련, 공인인증서 비밀번호까지 탈취당한 것으로 드러나 향후 큰 파장이 예고되고 있다.
삼성카드를 포함해 앱카드 표준모델을 쓰는 6개 카드사가 모두 비슷한 피해를 볼 가능성이 높기 때문이다.
12일 금융감독원에 따르면 최근 총 6000만원 상당의 피해를 본 50여명의 삼성카드 앱카드 명의도용 피해고객 중 일부는 아예 앱카드를 스마트폰에 설치하지 않았던 것으로 밝혀졌다.
이번 앱카드 명의도용은 '스마트폰 스미싱'에 의한 것으로 파악되고 있다. 스미싱이란 문자메시지(SMS)와 피싱(Phishing)의 합성어로 문자메시지 내 인터넷주소를 클릭하면 악성코드가 설치돼 스마트폰 사용자도 모르는 사이에 개인금융정보가 빠져나가게 되는 수법을 의미한다.
이번 사고는 스미싱으로 인해 악성코드가 깔린 스마트폰에서 공인인증서 및 개인정보 등이 유출된 후 해당 정보가 다른 스마트폰에 깔린 앱카드를 통해 연속적으로 특정 사이트에서 결제가 진행되다 적발됐다.
문제는 일부 고객의 경우 앱카드를 설치하지 않았지만 해커들이 스미싱으로 탈취한 공인인증서로 자신들의 스마트폰에 앱카드를 설치했다는 점이다. 공인인증서를 통해 앱카드를 설치할 경우 비밀번호가 필요한데 시스템상 남아있는 비밀번호가 함께 유출된 것으로 추정된다.
삼성카드 관계자는 "공인인증서 인증정보는 반복적으로 사용하기 때문에 스마트폰 시스템상에 남아있을 수 있고 해커들이 이를 이용해 앱카드를 신규 설치하고 결제를 진행한 것으로 판단된다"고 설명했다.
현재 삼성카드와 동일한 앱카드 표준모델을 쓰는 금융사는
이에 따라 금감원은 이들 금융사의 앱카드 채널 담당자를 소집해 긴급회의를 진행했다. 사고가 발생한 삼성카드에 대해서는 현장조사를 실시할 예정이다. 또 6개 금융사는 부정사용방지시스템(FDS) 관리를 더욱 철저히 해 유사한 사고 발생을 미연에 방지하기로 했다.
금감원 관계자는 "각 사별로 시스템을 비교해 보니 아이폰과 공인인증서 방식을 결합했을 때 사고가 발생할 우려가 있는 것으로 분석됐다"며 "아이폰을 사용해 공인인증서 방식으로 앱카드를 이용할 경우 해킹 사고의 우려가 있다"고 설명했다.
금감원은 각 카드사에 공인인증서 방식을 사용하지 않도록 권고하도록 하고 아이폰에 앱카드를 설치할 때에는 추가 인증을 반드시 거치도록 했다.
한편 삼성카드 관계자는 "피해 고객에게는 사실을 알린 후 신용카드 사용을 중단하고 재발급 조치를 취했다"며 "피해금액에 대해서는 보상할 계획"이라고 말했다.
